La frode informatica

Anche l’art. 640 ter è stato introdotto nel codice penale dalla Legge 23.12.1993, n. 547, la norma che fu varata in risposta all’allarme sociale destato da diversi atti di criminalità informatica, verificatisi nei primi anni ’90, e si prefiggeva lo scopo di accordare tutela ad una serie di beni giuridicamente rilevanti che, fino ad allora, non era stato possibile difendere in modo adeguato.

Esso mira a reprimere le ipotesi di illecito arricchimento conseguito attraverso l’impiego fraudolento di un sistema informatico, che deve caratterizzarsi con l’alterazione del funzionamento dello stesso, attraverso un intervento diretto sui dati o programmi in esso memorizzati, ovvero attraverso una qualsiasi interferenza nel suo funzionamento.

Detto intervento può manifestarsi in una qualsiasi fase del processo di elaborazione dati: dalla fase iniziale di raccolta ed inserimento, alla fase intermedia, di vera e propria elaborazione, alla fase finale, di emissione dei dati risultanti dal processo.

Uno dei primi casi di frode, attuata mediante l’alterazione del funzionamento di sistemi informatici, era pervenuta all’attenzione delle cronache a seguito di un’operazione portata a termine dalla Polizia di Stato, meglio nota con il nome in codice di “Operazione Inps”, che aveva determinato l’arresto di un dipendente dell’Istituto Nazionale della Previdenza Sociale e di alcuni suoi complici.

Attraverso l’inserimento di alcune posizioni pensionistiche fittizie, il dipendente aveva consentito ai propri complici di incassare pensioni non dovute, ottenendo successivamente parte del denaro erogato come compenso per l’attività fraudolenta svolta all’interno dell’Istituto.

Individuato dalla Polizia di Stato, era stato denunciato e tratto in arresto con l’accusa di frode che, tuttavia, risultava di difficile applicazione, venendo a mancare, nel caso di specie, l’induzione in errore di una o più persone mediante artifizi o raggiri.

La Magistratura risolse allora il problema eludendo, in sostanza, la formulazione letterale della norma, considerando il sistema informatico alterato dal dipendente un semplice strumento e ipotizzando l’induzione in errore dei soggetti preposti al suo controllo, al fine di generare le pensioni false.

In effetti, a seguito dell’alterazione del database delle posizioni pensionistiche, tutti i funzionari preposti alla firma dei mandati e al pagamento delle somme venivano in qualche modo tratti in inganno dai risultati scaturenti dal sistema informativo dell’INPS, ma si trattava di un passaggio successivo e non necessariamente legato alla condotta da punire (avrebbe potuto essere stato generato anche da un malfunzionamento del sistema), di talchè l’interpretazione della giurisprudenza appare certamente più vicina all’analogia che ad una concreta applicazione estensiva dell’art. 640 del Codice Penale.

Successivamente, un caso interessante di frode attuata mediante sistemi informatici fu rilevata all’interno di un istituto bancario, ad opera di un programmatore che modificò il programma di gestione dei conti correnti e delle transazioni in modo da far confluire gli arrotondamenti all’interno di un conto a lui intestato.

L’irrilevanza delle somme sottratte di volta in volta non consentiva ovviamente di scoprire facilmente l’operazione in corso, ma, dato l’elevatissimo numero di operazioni che ogni giorno l’Istituto di Credito eseguiva attraverso il proprio sistema informativo, le somme accumulate sull’unico conto intestato al programmatore erano decisamente notevoli, e costituirono il motivo della scoperta, ad opera di alcuni funzionari preposti al controllo, del “sistema di prelievo”, successivamente ribattezzato “tecnica del salame”.

Con l’introduzione dell’art. 640 ter c.p. – proprio per dare una risposta a tale tipologia di reato, sulla cui esistenza nessuna aveva dubbi, dal punto di vista teorico, ma per il quale sorgevano, come già detto, seri dubbi di estensibilità della fattispecie della frode tradizionale – l’attenzione del Legislatore si sposta sull’alterazione del funzionamento di un sistema informatico o telematico e sull’intervento non autorizzato su dati informazioni e programmi ad esso pertinenti (che, sostanzialmente, si traduce in un’alterazione del funzionamento del sistema), con il fine di procurare a sé o ad altri un ingiusto profitto con altrui danno. Viene quindi eliminato ogni riferimento all’artifizio o raggiro finalizzato a trarre in inganno il soggetto passivo del reato, che aveva creato i problemi applicativi di cui in premessa.

Probabilmente, dal punto di vista delle tecniche di redazione dei testi legislativi, sarebbe stato più semplice e più corretto, anziché differenziare in modo così marcato le due fattispecie ed infarcire ulteriormente di norme ridondanti il codice, modificare l’art. 640 c.p. in modo tale da rimuovere l’ostacolo dell’induzione in errore di una persona; tecnica adottata nel codice penale francese, che richiede, per la configurabilità del reato, le sole manovre fraudolente atte a commettere il delitto.

Il legislatore ha individuato due distinte ipotesi di reato: l’alterazione del funzionamento di un sistema informatico e l’intervento senza diritto su programmi, dati ed informazioni in esso contenuti o ad esso pertinenti.

Quest’ultima definizione, volta a chiarire la portata della precedente, di cui è una mera specificazione più che un’autonoma fattispecie di reato, ha posto il problema di individuare compiutamente la natura dei “dati” rispetto a quella, più ampia, delle “informazioni”.

Tecnicamente, per “dato” si intende un qualsiasi elemento processabile da un sistema informatico, per il quale la rappresentazione della realtà esterna non ha alcun significato ed è quindi assolutamente ininfluente ai fini dell’elaborazione, oltre che ingestibile.

E’ quindi individuabile come dato un numero, un colore, un valore, indipendentemente dal contesto in cui è inserito. Proprio detto contesto, rilevabile dall’intelletto umano, al contrario di quanto può fare l’elaboratore, consente di trasformare i dati in informazioni. Assume quindi rilievo il colore di un’auto, il numero di telefono di una persona, il valore attribuito ad una banconota, ecc.

Il Legislatore, al fine di evitare che la sostanziale differenza tra i due termini potesse determinare ipotesi di non punibilità di taluni comportamenti, e, altresì, al fine di inserire tra i beni tutelati dalla norma anche i supporti informatici e cartacei estranei al sistema di elaborazione, ma comunque ad esso pertinenti, ha formulato la fattispecie introducendo le informazioni tra i beni tutelati e il vincolo pertinenziale come condizione di punibilità di talune situazioni.

L’oggetto della tutela è duplice, ed è costituito dal patrimonio, per via della collocazione sistematica della norma, nonché, anche se indirettamente, dall’interesse della collettività alla affidabilità delle elaborazioni poste in essere mediante i sistemi informatici, che, in particolare in una Società sempre più spesso definita “dell’informazione”, proprio a causa dell’estrema dipendenza dalle tecnologie, acquisisce particolare importanza per gli effetti negativi che potrebbero derivare da qualsiasi alterazione del corretto funzionamento di un elaboratore.

Già il caso giudiziario sopra commentato fornisce una chiara idea di ciò che potrebbe accadere se l’esempio del dipendente dell’INPS venisse seguito da altri soggetti.

I dati ed i programmi devono essere contenuti in un sistema informatico o telematico, ovvero su supporti informatici o cartacei adesso pertinenti, ove per tali si intendono quelli destinati ad essere utilizzati su un sistema informatico.

Indifferente, al riguardo, la circostanza che si tratti di dati o informazioni oggetto di prima elaborazione o risultato della stessa; ciò che effettivamente viene in rilievo, ai fini della determinazione del vincolo, è la relazione che intercorre tra l’oggetto della manipolazione e il processo che consente l’ingiusto profitto con altrui danno.

Ulteriori caratteristiche della condotta devono rinvenirsi nell’intervento su dati e programmi, che deve necessariamente consistere in una modifica dello stato degli stessi rispetto al loro stato originario, e nella circostanza che detto intervento deve essere compiuto senza diritto, ossia da soggetti non autorizzati a farlo.

Tale circostanza consente di ipotizzare il concorso con il reato di accesso abusivo ad un sistema informatico nelle situazioni in cui la realizzazione della frode richiede l’accesso al sistema, giacchè la giurisprudenza ha chiaramente indicato ogni attività difforme dalle autorizzazioni concesse come ipotesi di mantenimento all’interno del sistema contro la volontà dell’avente diritto, evidenziando che l’eventuale autorizzazione concessa non consentiva certamente di compiere atti in danno del titolare del sistema (Corte Suprema di Cassazione, Sez. V, 7.11.2000).

Dopo aver distinto le modalità di esecuzione, è opportuno individuare nell’hardware, nel software e negli archivi gli oggetti materiali della condotta fraudolenta.

L’ipotesi di un intervento sull’hardware, benché più complessa, appare tutt’altro che impossibile o improbabile, rispetto a quanto ottimisticamente previsto negli anni passati da alcuni esperti del settore, che certamente non immaginavano una così rapida e crescente diffusione di tecnologia a basso costo.

Al giorno d’oggi, inserire all’interno di un sistema di elaborazione dati dei componenti da utilizzare in modo sovversivo è tutt’altro che difficile, soprattutto per il personale tecnico, solitamente poco o per niente controllato quando interviene per la manutenzione ordinaria o per l’assistenza tecnica.

In passato alcune compagnie telefoniche hanno utilizzato dei processori particolari che consentivano di utilizzare esclusivamente sim-card di un certo tipo per utilizzare gli apparati venduti ai clienti.

In sostanza, se il cliente aveva intenzione di cambiare gestore, doveva cambiare anche telefono.

La politica di dette aziende poteva essere discutibile dal punto di vista commerciale, ma non integrava certamente un illecito penalmente rilevante.

Si può immaginare, tuttavia, cosa avrebbero potuto fare quegli stessi chip ove fossero stati predisposti anche per generare traffico fittizio ed incrementare i conti telefonici degli utenti a loro insaputa.

Una ipotesi di frode informatica commessa intervenendo sul software è ipotizzabile ogni volta che all’interno di un programma viene inserita una routine che consente di sottrarre risorse economiche ad un soggetto in favore di un altro.

Un chiaro esempio di tale situazione è rinvenibile nell’attività di taluni gestori di siti web, che utilizzano programmi particolari, chiamati dialers, per consentire agli utenti di utilizzare i loro servizi. Tali programmi chiudono la connessione ad Internet tradizionale e ne attivano una nuova, diretta ad un numero la cui tariffazione a tempo è diversa e solitamente superiore rispetto a quella normale.

Ove tale operazione sia adeguatamente e chiaramente specificata, con i costi di connessione del servizio, il funzionamento del programma, i dati del fornitore e i diritti dell’utente in evidenza, nessun problema. Nel caso in cui, come spesso succede, il programma di connessione viene invece scaricato all’insaputa dell’utente, o tentando di rendere invisibili i dati che è obbligatorio fornire (ad esempio, utilizzando come finestra di dialogo un layout analogo a quelli che invitano a scaricare gli aggiornamenti dei programmi più diffusi, come Flash, RealPlayer, Acrobat Reader, ecc.) si ricade nell’ipotesi della frode informatica, poiché il normale funzionamento del sistema viene alterato senza diritto, all’insaputa dell’utente, con il chiaro intento di trarre profitto dall’operazione illecita.

Quanto, infine, alla ipotesi in cui ad essere alterato è il contenuto di un database, come nel caso dell’impiegato dell’INPS, appare quantomeno indiscutibile che l’alterazione di un sistema informatico ben può consistere nel caricamento di dati fasulli all’interno di un archivio con la chiara intenzione di far compiere all’elaboratore delle operazioni che, senza quei dati, non sarebbero state possibili.

In relazione a quest’ultima ipotesi, è stato eccepito che il caricamento di dati falsi non costituisce alterazione del funzionamento del sistema informatico, che continua a funzionare nel modo in cui è stato programmato. Poiché la norma, tuttavia, fa espresso riferimento anche all’intervento senza diritto su dati e programmi, appare evidente che la fattispecie possa comunque essere ricondotta all’art. 640 ter, poiché attraverso detto intervento additivo si realizza lo scopo che il soggetto si prefigge.

Non vi sarebbe, peraltro, alcun motivo per escludere dalla lista delle condotte penalmente perseguibili proprio quella che risulta più semplice da attuare e più difficile da individuare, poiché è evidente che l’aggiunta di una posizione pensionistica o di un qualsiasi record all’interno di un database non si concretizza in un malfunzionamento o in un comportamento anomalo.

L’elemento psicologico del reato è integrato dal dolo generico consistente nella coscienza e volontà di realizzare il fatto tipico. L’aver ottenuto o procurato un ingiusto profitto con altrui danno è condizione obiettiva di punibilità cui è subordinata la consumazione del reato.

E’ interessante l’applicazione della norma ai fenomeni di phone phreaking, che in passato non erano sanzionabili né mediante ricorso all’art. 640 c.p., per i motivi di cui in premessa, né mediante ricorso all’art. 624 c.p., mancando la caratteristica della cosa mobile sulla quale deve cadere l’ipotesi dell’impossessamento.

La fattispecie si adatta perfettamente al c.d. blue boxing, che prevede, per l’appunto, l’alterazione del funzionamento di un sistema telematico allo scopo di evitare la tassazione telefonica, mediante l’utilizzo di uno strumento elettronico che provoca la disattivazione del sistema di tariffazione a tempo.

Per dovere di cronaca, è opportuno evidenziare che tale condotta era diffusa negli Stati Uniti, negli anni passati, a causa del particolare funzionamento delle centraline telefoniche della AT&T, successivamente sostituite con altre che non risentono del medesimo problema. In Italia, stante la diversa tecnologia utilizzata, l’esperimento non è mai stato possibile.

La Corte Suprema di Cassazione, con sentenza n. 3067 del 4 ottobre 1999, ha ritenuto applicabile l’art. 640 ter c.p. al caso di una donna responsabile di aver generato un consistente, anomalo traffico telefonico verso l’estero (Oceania e Isole Cook), mediante l’utilizzo di alcuni telefoni in uso presso l’azienda di cui era dipendente.

Nel corso delle indagini era stato accertato che le destinazioni estere erano state raggiunte dalla impiegata mediante la rapida digitazione di alcune cifre nel breve periodo intercorrente tra la selezione del “numero breve” e l’invio automatico delle cifre corrispondenti al numero stesso.
Ne era risultato un grave danno per la società telefonica (per un importo stimato di L. 120 milioni), tenuta a pagare per convenzione, agli enti gestori della telefonia nei paesi destinatari delle chiamate, l’importo derivante da tale illecito traffico telefonico, ed un contestuale ingiusto profitto delle persone (non identificate) che ricevevano le telefonate (in particolari i titolari di due utenze estere più frequentemente chiamate) alle quali veniva versata una parte delle somme inviate ai predetti enti gestori stranieri.

La Corte, nel rilevare che la legge 23 dicembre 1993, n. 547 omette di definire cosa debba intendersi per sistema informatico o telematico, elaborava le seguenti considerazioni: “Sulla base del dato testuale pare comunque che si debba ritenere che l’espressione “sistema informatico” contenga in sé il concetto di una pluralità di apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo, attraverso l’utilizzazione (anche in parte) di tecnologie informatiche. Queste ultime, come si è rilevato in dottrina, sono caratterizzate dalla registrazione (o “memorizzazione”), per mezzo di impulsi elettronici, su supporti adeguati, di dati, cioè di rappresentazioni elementari di un fatto, effettuata attraverso simboli (bit) numerici (“codice”), in combinazioni diverse: tali “dati”, elaborati automaticamente dalla macchina, generano le informazioni costituite “da un insieme più o meno vasto di dati organizzati secondo una logica che consenta loro di attribuire un particolare significato per l’utente).

Ora, come ha correttamente evidenziato il Giudice a quo, le linee telefoniche utilizzano, nell’epoca moderna, normalmente, tali tecnologie. La funzione di trasmissione delle comunicazioni si attua, invero, con la conversione (codificazione) dei segnali (nel caso fonici) in forma di flusso continuo di cifre (bit) e nel loro trasporto in tale forma all’altro estremo, dove il segnale di origine viene ricostruito (decodificazione) e inoltrato, dopo essere stato registrato in apposite memorie. Si tratta, cioè, del flusso di comunicazioni relativo a sistemi informatici di cui all’art. 266 bis c.p.p. introdotto dalla stessa l. 547/1993 nel codice di procedura penale, al quale è stata estesa la disciplina delle intercettazioni telefoniche.

Non solo. Secondo il corretto apprezzamento del Giudice di merito, essendo le linee telefoniche utilizzate anche per il flusso dei cosiddetti “dati esterni alle conversazioni” (numero dell’abbonato chiamante, numero dell’abbonato chiamato, numero degli scatti, data e ora di inizio della chiamata e durata della stessa), i quali vengono tutti memorizzati e trattati (compresa la stampa dei tabulati) con tecnologie informatiche (si veda, al riguardo. Cass. Sez. un. C.c. 13 luglio 1998, Gallieri, rv 211197, pur se pronunciata sull’affine sistema di telefonia mobile), anche per altro verso si deve giungere a ritenere la sussistenza, in concreto, dei presupposti per l’applicazione dell’art. 640 ter c.p.”

Infine, il Giudice di merito, ha messo in evidenza come anche il centralino della sede “X” di Brindisi (che la ricorrente ritiene una semplice “agenda” e come tale non rientrante nei sistemi informatici) abbia la natura, a sua volta, di sistema informatico, rilevando che la selezione delle telefonate extraurbane, attraverso i cosiddetti numeri brevi, avviene per mezzo di tecnologie informatiche, di memorizzazione, cioè, di dati che permettono l’utilizzazione delle linee solo per la chiamata di determinate utenze e non di altre.
(omissis)

Per altro verso, sembra a questa Corte che non possa dubitarsi della possibilità di un concorso di reati fra l’accesso abusivo a un sistema informatico e la frode informatica: la condotta di accesso non ha a che vedere con il reato di frode informatica, il quale ultimo è necessariamente caratterizzato dalla manipolazione del sistema (“alterando in qualsiasi modo il funzionamento” oppure “intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi”, secondo le formule utilizzate dalla norma), che non è prevista né richiesta per il reato di accesso abusivo (senza considerare la diversità di beni giuridici tutelati, la diversità dell’elemento soggettivo e la non completa sovrapponibilità delle due figure, anche per prevedere l’art. 615 ter la sola tutela dei sistemi protetti da misure di sicureza, caratteristica che non si rinviene nel reato di frode informatica).

Nel caso di specie la contemporanea violazione delle due norme si è realizzata secondo lo schema tipico del concorso formale, in quanto già indagati, con una sola azione (digitazione del numero telefonico), si sono introdotti abusivamente nel sistema informatico e, nello steso tempo, lo hanno manipolato in modo da eludere il blocco delle telefonate extraurbane, contestualmente procurandosi l’ingiusto profitto con altrui danno.

Conclusivamente può affermarsi che, con giudizio di merito congruamente e logicamente motivato e, pertanto insindacabile in questa sede di legittimità, è rimasto accertato che, nella specie, sia la rete telefonica di cui si serve la “X” di Brindisi, sia il centralino telefonico della filiale costituiscono un sistema che si avvale di tecnologie informatiche secondo quanto descritto nelle pagine 4 e 5 dell’ordinanza impugnata, nelle quali si precisa che: 1) la trasmissione delle conversazioni in rete avviene con sistema elettronico che consente il trasporto dei segnali (bit) in forma numerica (sistema digitale) mediante automatica codificazione e decodificazione (registrando tali dati in memorie su supporti adeguati); 2) il centralino è protetto da misure di sicurezza costituite dal blocco della selezione internazionale; 3) la “X” opera un trattamento automatico delle informazioni afferenti ai cosiddetti “dati esterni” al flusso delle conversazioni, che vengono registrati e (all’occorrenza) stampati su tabulati da cui è dato desumere il nome dell’abbonato chiamante, il numero dell’abbonato chiamato, il numero degli scatti, la data, l’ora e l’inizio della chiamata). E poiché in base alle suesposte considerazioni si è verificato un abusivo accesso – rilevante penalmente ex art. 615 ter c.p. – nei sistemi informatici di pertinenza della “X” da parte degli indagati, allo scopo di commettere l’ulteriore reato di frode informatica, l’ordinanza impugnata va annullata…”

I passi salienti di questa sentenza consentono di individuare chiaramente le caratteristiche dei reati di accesso abusivo ad un sistema informatico e di frode informatica, di cui si è già parlato, e, in più, analizzano correttamente il rapporto tra le due fattispecie, delineando il concorso delle medesime di cui si era parlato in premessa.

Gianluca Pomante

Lascia una risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *